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. Automatische Terminal- oder Nutzeridentifizieruna in Netzwerken 

Die vorliegende Erfindung bezieht sich auf eine automatische Terminal- oder 
Nutzeridentifizierung in Netzwerken, insbesondere im Netzverbund des Inter- 
nets, und insbesondere auf ein Verfahren zum automatischen Erkennen eines 
Zug riffs rechts auf geschdtzte Bereiche in Netzwerken, insbesondere im Netz- 
verbund des Internet, Wobei der Begriff geschiitzter Bereich jegliche nicht frei 
verfugbaren Transaktionen umfasst. 

Die Handhabung von sensiblen Daten oder Transaktionen unter Ausschlufi 
Unberechtigter in Netzwerken, insbesondere im frei zuganglichen Internet 
stellt grofie Sicherheitsprobleme dar. Einerseits mussen zunachst Zugriffs- 
rechte fur die Transaktionen unter AusschluR Unberechtigter sichergestellt 
werden und andererseits muss anschlieliend eine sichere Obertragung der 
Daten erfolgen. Die vorliegende Erfindung befasst sich mit dem ersten dieser 
Probleme, namlich der PrQfung, ob ein Terminal, der Transaktionen unter 
Ausschluli Unberechtigter durchfiihrt, auch Zugriffsrechte hierfur besitzt. 

o Ein ubliches Verfahren zur Identifizierung eines Terminals oder Nutzers fur 
die Lieferung einer bestimmten Leistung, wie zum Beispiel den Zugriff auf ge- 

. . schQtzte Bereiche im Internet, ist die Abfrage eines Benutzernamens und ei- 

W nes Passwortes. Ein solches Verfahren, bei dem ein Benutzername und 
Passwort abgefragt wird, sieht eine relativ hohe Sicherheit hinsichtlich der 

5 Identifizierung des Nutzers vor. Bei diesem Verfahren ist es jedoch notwendig, 
dass sich der Nutzer zunachst in irgendeiner Form registrieren lassen muss, 
urn einen gewunschten Bereich zu nutzeh. Dies hat fur den Nutzer zur Folge, 
dass er ggf. personliche Daten fur die Registrierung bereitstellen muss, ohne 
- dass ihm dies Recht ware. Dartiber hinaus schreiben sich Nutzer heutzutage 

o haufig Benutzernamen und Passworter nieder, da sie zu viele Passworter o- 
der Pins, z.B. fur den Zugriff auf den eigenen Rechner, die Kbntokarte, die 
Kreditkarte etc. verwalten mQssen. Das Niederschreiben birgt jedoch bekann- 
termalSen ein Sicherheitsrisiko. FOr den entsprechenden Anbieter des Diens- 
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Dienstes bedeutet dies ferner, dass eine entsprechend leistungsfahige Kun- 
dendatenverwaltung vorgesehen 1st, die in der Regel manueller Pflege bedarf. 

FUr den Anbieter einer bestimmten Leistung ist es aber oft nicht notwendig, 
dass der Empfanger der Leistung sich bei ihm in irgendeiner Form registriert. 
So ist z.B. der Kunde beim offenen Cali-by-Call oder beim offenen Internet-by- 
Call fQr den Netzbetreiber (Anbieter) anonym. Dem Netzbetreiber, sind ledig- 
lich die Anruf-Rufnummer, d.h. eine eindeutige AnschluBkennung eines an- 
sonsten anonymen Kunden, die Zielrufnummer und die Dauer des Anrufs be- 
kannt. Zur Abrechnung werden diese Daten in der Regel zum Inkasso an die 
Telefongesellschaft des Kunden, beispielsweise die Deutsche Telekom AG, 
Qbermittelt. Dabei kann der Kunde fQr den Anbieter einer bestimmten Leistung 
vdllig anonym bleiben, da aufter der eindeutigen AnschlulJkennung keine 
weiteren Informationen (iber den Kunden erforderlich sind. 

M6chte der Netzbetreiber oder Dienstanbieter dem jeweiligen Kunden jedoch 
Transaktionen unter AusschluB unberechtigter Dritter Anbieten, beispielswei- 
se vertrauliche Daten - wie einen Einzelverbindungsnachweis - zur VerfQgung 
stellen oder den Zugriff auf andere geschQtzte Bereiche ermoglichen, so war 
dies bisher nur mit einer vorherigen Registrierung mdglich, urn sicherzustel- 
len, dass nur autorisierte Terminals auf die jeweiligen Daten zugreifen kan- 
nen. 

Der vorliegenden Erfindung liegt daher die Aufgabe zugrunde, eine automati- 
sche Identifizi'erung von Zugriffsrechten auf geschutzte Bereiche in Netzwer- 
ken, insbesondere im Internet zu ermfiglichen. 

Erfindungsgemali wird diese Aufgabe bei einem Verfahren zum automati- 
schen Erkennen eines Zugriffsrechts auf geschQtzte Bereiche in einem ersten 
Netz unter Verwendung einer eindeutigen Anschlusskennung eines zweiten 
Netzes, insbesondere im Netzverbund des Internets, mit folgenden Verfah- 
rensschritten: dynamische oder statische Zuordnung einer eindeutigen Ken- 
nung des ersten Netzes fQr einen Terminal, bei bzw. vor seinem Verbin- 



dungsaufbau mit dem ersten Netz, Speichern einer Kombination aus wenig- 
stens der eindeutigen Anschluftkennung des zweiten Netzes und der eindeu- 
tigen Kennung des ersten Netzes in einer Authentifizierungseinheit Abfragen 
der Authentifizierungseinheit zum Ermitteln der eindeutigen Anschiu&kennung 
des zweiten Netzes anhand der eindeutigen Kennung des ersten Netzes, 
wenn der Terminal auf den geschQtzten Bereich zugreifen mochte, PrQfen, ob 
fQr die eindeutige Anschlufckennung des zweiten Netzes ein Zugriffsrecht fur 
den geschQtzten Bereich besteht. Das vorliegende Verfahren ermoglicht somit 
eine sichere automatische, Erkennung von Zugriffsrechten auf geschQtzte Be- 
reiche in Netzwerken anhand der Kennungen aus zwei unterschiedlichen Net- 
zen. Eine Vorabregistrierung mittels Benutzername und Passwort sowie der 
Angabe persSnlicher Informationen ist nicht notwendig. Aber selbst bei dem 
Zugriff auf Bereiche die zusatzlich eine Registrierung erfordern, wie zum Bei- 
spiel kostenpflichtige Datenbanken, ermSglicht das erfindungsgemafce Verfah- 
ren, dass der Zugriff nur von bestimmten Netzelementen insbesondere be- 
stimmten TelefonanschlQssen (sowohl Mobil- als auch Festnetz) aus moglich 
ist, was einen Missbrauch selbst bei Verlust oder bewusster Weitergabe von 
Benutzernamen und Passwort ausschlieftt. 

Gemafc einer bevorzugten AusfQhrungsform der Erfindung enthalt die in der 
aktuellen Authentifizierungseinheit gespeicherte Kombination zusatzliche Da- 
ten, wie beispielsweise die Einwahl-Rufnummer in das Netzwerk, einen Be- 
nutzernamen (Login) und/oder ein Passwort. Diese Daten kSnnen eine noch 
bessere Identifizierung des Terminals ermoglichen, wobei insbesondere der 
Benutzername und das Passwort automatisch bei der Einwahl in das Netz- 
werk erzeugt werden kOnnen. 

Bei einer besonders bevorzugten AusfQhrungsform der Erfindung wird die 
- Authentifizierungseinheit nur temporar gefQhrt, so dass es sich im Wesentli- 
chen urn eine dynamische Einheit handelt. Vorzugsweise wird die Kombinati- 
on an Daten aus der Authentifizierungseinheit gelOscht, sobald der Terminal 
seine Verbindung beendet. Somit wird sichergesteilt, dass ein Zugriff auf den 



geschQtzten Bereich nur solange mSglich ist, wie eine Verbindung von der 
eindeutigen Anschluflkennung zu dem Netzwerk besteht. 



Bei einem Ausfuhrungsbeispiel der Erfindung ist die eindeutige Kennung des 
zweiten Netzes eine Anrufrufnummer. Vorzugsweise umfalit der geschQtzte 
Bereich das Bereitstellen eines Online-Einzelverbindungsnachweises, so dass 
der Nutzer von Call-by-Call.oder Internet-by-Call Diensten auT seine Verbin- 
dungsnachweise zugreifen kann, ohne sich vorher registrieren zu mussen. 
Dabei erfolgt der Einzelverbindungsnachweis automatisch fur die eindeutige 
Anschlulikennung des Terminals. Bei einer alternativen Ausfuhrungsform der 
Erfindung ist vor Freigabe eines Einzelverbindungsnachweises eine weitere 
Eingabe am Terminal des Nutzers notwendig, urn sicherzustellen, dass nicht 
jeder Terminal, der Zugriff auf ein Bestimmtes Netzelement bzw. einen be- 
stimmten Telefonanschluss besitzt, auch die Verbindungsnachweise dieses 
Anschlusses abrufen kann. Beispielsweise umfalit die weitere Eingabe das 
Eingeben einer Rechnungs- und/oder Kundennummer der Telefongesell- 
schaft, und oder einer PIN. 

Urn eine hone Sicherheit bei der Identifizierung sicherzustellen, und einen 
Missbrauch der Authentifizierungseinheit sicherzustellen haben nur autori- 
sierte Dienste Zugriff auf die Authentifizierungseinheit, die sich ggf. bei der 
Authentifizierungseinheit vorab registrieren mussen und sich bei der Abfrage 
identifizieren. 

Bei einer Ausfuhrungsform der Erfindung umfa&t der geschQtzte Bereich we- 
nigstens einen der folgenden Dienste: Bereitstellung von Daten (kostenpflich- 
tige Datenbanken), elektronischer Handel (E-Commerce) und Payment. Im E- 
Commerce Bereich kann zwar in der Regel eine Vorabregistrierung eines 
^ Kunden nicht entfallen, aber die Nutzung der E-Commerce-Dienste kann er- 
leichtert werden, da ein Terminal automatisch anhand seiner Anschlussken- 
nung wie z.B. seinem Telefonanschluss, erkannt werden kann. Bei dem Pay- 
ment Dienst konnen Geldbetrage beispielsweise Qber die Telefonrechnung 
eines Kunden abgerechnet werden, z.B. die einmalige Abrechnung eines klei-. 



nen Betrages fur das Lesen eines bestimmten Zeitungsartikels im Internet. 
Die beim Payment Dienst entstehenden Kosten werden vorzugsweise auto- 
matisch Qber die eindeutige AnschluBkennung abgerechnet. Dabei ermoglicht 
das erfindungsgemafte Verfahren einen nachtraglichen exakten Nachweis 
Qber den Verbindungsaufbau zwischen zwei Netzelementen, den Kontakt, die 
Bestellung und ggf. die Lieferung der erbrachten Leistung auch ohne Regi- 
strierung des jeweiligen Kunden. 

Bei einer weiteren Ausfuhrungsform der Erfindung werden im geschtitzten Be- 
reich anhand der eindeutigen Anschlu&kennung des zweiten Netzes, wie z.B. 
der Anschlussrufnummer oder SIM Karten Adresse, automatisch weitere Da- 
ten des Terminals aufgerufen imd/oder weitere Verfahrensschritte eingeleitet. 
Die zusatzlichen Daten konnen sich beispielsweise aus einer Vorabregistrie- 
rung unter der eindeutigen AnschluBkennung ergeben. Solche zusatzlichen 
Daten sind insbesondere im E-Commerce Bereich zweckmafcig, wo ggf. Zu- 
stell- und Rechnungsadressen eingegeben werden mOssen. Als weitere Ver- 
fahrensschritte kann z. B. eine automatische Verarbeitung einer Bestellung 
erfolgen. Das erfindungsgemafie Verfahren kann ferner auch in Kombination 
mit der bekannten Authentifizierung mit Benutzernamen und Passwort ver- 
wendet werden, urn eine noch hc-here Datensicherheit zu erreichen. 

Die der Erfindung zugrundeliegende Aufgabe wird auch bei einem Verfahren 
zum Bereitstellen von Daten fur eine automatische Erkennung von Zugriffs- 
rechten auf geschutzte Bereiche in Netzen, insbesondere im Netzverbund des 
Internets, mit'folgenden Verfahrensschritten gelost: Vorsehen von wenigstens 
jeweils einer eindeutigen Kennung aus wenigstens zwei unterschiedlichen 
Netzen wahrend eine Verbindung zu beiden Netzen besteht, Speichern einer 
Kombination der unterschiedlichen Kennungen in einer dynamischen Authen- 
- tifizierungseinheit, Ausgeben und/oder Authentifizieren einer der eindeutigen 
Kennungen, bei einer entsprechenden Anfrage hinsichtlich der anderen ein- 
deutigen Kennungen, Loschen der Daten aus der dynamischen Authentifizie- 
rungseinheit sobald eine Verbindung mit wenigstens einem der beiden Netze 
beendet wurde. Das erfindungsgemafce Verfahren sieht eine dynamische Au- 
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thentifizierungseinheit von aktuell im Netzwerk befindlichen Terminals vor. die 
eine Identifizierung eines Terminals anhand seiner eindeutigen Kennung aus 
beiden Netzwerken ermoglicht. Dabei wird die Authentifizierungseinheit in 
Echtzeit gefuhrt, sodass die gespeicherten Daten nur solange vorgehalten 
werdtye, wie der Terminal im Netzwerk ist. Nach Beenden der Verbindung 
werden die Daten umgehend geloscht, um einen Missbrauch zu verhindem. 

Vorzugsweise ist wenigstens eine der Kennungen eine IP-Nummer und/oder 
eien eindeutigen Anschluftkennung eines Terminals. 

FQr eine erhdhte Datensicherheit wird geprtift, dass die Anfrage hinsichtlich 
einer bestimmten IP-Nummer von einem autorisierten Dienst stammt. Hier- 
durch wird sichergestellt, dass die in der Authentifizierungseinheit befindli- 
chen Daten nicht missbrauchlich verwendet werden. 

FQr eine erhohte Datensicherheit sind in der aktuellen Authentifizierungsein- 
heit zu der oben genannten Kombination zusatzliche Daten gespeichert. Die- 
se konnen beispielsweise die Einwahl-Rufnummer, einen Benutzernamen 
(Login) und ein Passwort umfassen. Diese zusatzlichen Daten sehen eine 
noch erhohte Identifizierungssicherheit vor. 

Bei einer Ausfiihrungsform der Erfindung kann Qber die Authentifizierungsein- 
heit bzw.. die ausgegebene Kennung eine Anruf-Rufnummernsperre Oder eine 
Ziel-Rufnummernsperre identifiziert werden. 

Die vorliegende Erfindung wird nachfolgend anhand eine bevorzugten AusfQh- 
rungsbeispiels der Erfindung unter Bezugnahme auf die Zeichnung naher er- 
lautert. In der Zeichnung zeigt: 

Fig. 1 eine schematische SystemQbersicht fur einen offenen Internet-by-Call 
Dienst eines Telekommunikations-Netzbetreibers. 



Anhand der Fig. 1 wird das erfindungsgemalie Verfahren bei einer automati- 
schen Erkennung von Zugriffsrechten am Beispiel eines Online Einzelverbin- 
dungsnachweises (EVN) fCSr lntemet-by-Call Kunden naher eriautert. 

Zunachst wird jedoch der allgemeine Abrechnungsmodus bei einem Internet- 
by-Call Dienst beschrieben. Bei einem offenen lntemet-by-Call Dienst wahlt 
sich ein Kunde, dessen Anschluss beispielsweise auf die Deutsche Telekom 
AG (DTAG) lauft, uber das Netz der DTAG in das Netzwerk eines entspre- 
chenden Netzbetreibers, der nachfolgend als Anbieter bezeichnet wird, ein. 
Die DTAG vermittelt den entsprechenden Anruf in ihrem Netz bis zu einem 
definierten Obergabepunkt, der auch als point of interconnect (POI) bezeich- 
net wird. An diesem POI wird der Anruf von der DTAG an den Anbieter des 
lntemet-by-Call Dienstes ubergeben. Gegebenenfalls kommt es nun zu einer 
Vermittlung des Anrufs im Netz des Anbieters, und der Anruf wird auf einer 
Modembank des Anbieters terminiert. Sofern erforderlich, werden die Kun- 
dendaten, wie beispielsweise ein Benutzername und ein Passwort gepruft und 
anschlieliend wird dem Kunde eine (dynamische) IP-Adresse zugewiesen. 
Nun wird der Anruf auf Basis des Internet-Protokolls (IP) bis zu seiner Zielde- 
stination (z.B. dem Gffentlichen Internet) weitervermittelt. 

Die zur Abrechnung des Anrufs relevanten Daten werden von dem Anbieter 
festgehalten, und zum Inkasso an die DTAG weitergeleitet. 

Der Anbieter bekommt von der DTAG Informationen hieruber, welche Daten- 
satze auf welcher Rechnungsnummer (Rechnungsnummer, Kundennummer 
sowie Rechnungsdatum) abgerechnet wurden, ohne dass dem Anbieter die 
Personalien des Kunden bekannt sind. 

- Die DTAG listet auf ihren Rechnungen nicht die einzelnen lntemet-by-Call An- 
rufe des Kunden auf, die dieser aber, wie nachfolgend beschrieben wird, On- 
line abfragen kann. 
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Das nachfolgend unter Bezugnahme auf Fig. 1 beschriebene System erm6g- 
licht eine automatische anschlussbezogene Authentifizierung eines Kunden, 
urn den Zugriff auf einen Onllne-Einzelverbindungsnachweis eines Internet- 
by-Call Anbieters zu ermoglichen. 

Block 1 in Fig. 1 stellt das Telekommunikationsnetz aufcerhalb des Netzwerks 
des Anbieters dar. Im Block 1 erfolgt somit die Einwahl und die Vermittlung 
des Anrufs bis zum POl des Internet-by-Call Anbieters. 

Das System des Netzanbieters ist durch einen gestrichelten Kasten 2 in Fig. 1 
dargestellt. 

Der Block 4 in Fig. 1 reprasentiert einen Switch, in dem die zur Abrechnung 
des Kunden relevanten Daten erzeugt werden. Diese Kundendaten, die als 
Call-Data-Records (CDR) bezeichnet werden, enthalten z.B. die eindeutige 
Anschlulikennung des Kunden, die Einwahl-Rufnummer in das Netzwerk des 
Anbieters und die Start- sowie die Endzeit des Anrufs. Diese Daten werden im 
Netz des Anbieters zu einem Berechnungssystem im Block 6 weitergeleitet, 
das die Kosten fur den jeweiligen Anruf berechnet. Die berechneten Kosten 
werden unter Angabe der eindeutigen Anschlullkennung an die DTAG im 
Block 8 Qbermittelt. Die DTAG stellt diese Kosten nachfolgend dem Kunden 
des jeweiligen Anschlusses der eindeutigen Anschlulikennung in Rechnung 
und liefert Daten betreffend die Rechnungsstellung zuruck an das Berech- 
nungssystem im Block 6. Diese Daten enthalten beispielsweise die Rech- 
nungsnummer, die Kundennummer sowie das Rechnungsdatum. Nicht ent- 
halten sind die persSnlichen Daten des Kunden. 

Vom Block 6 werden die berechneten Kosten gemeinsam mit den CDR-Daten 
- zu einem netzinternen Datenbankserver im Block 10 Qbermittelt. Diese Ober- 
> mittlung kann sofort oder erst nach Erhalt der Rechnungsdaten durch die 
DTAG erfolgen. Wenn die Obermittlung der Daten sofort erfolgt, werden die 
spater von der DTAG zurQckgesandten Rechnungsdaten nach Erhalt nach- 



9 

traglich an den Datenbankserver 10 Obermittelt, welche diese Daten dann 
kumuliert bzw.gesteuert. 

Der Switch im Block 4 leitet einen Teil der CDR-Daten, namlich die eindeutige 
Anschlufckennung und die Einwahl-Rufnummer an eine Modembank im Block 
12 weiter, wo der Anruf terminiert wird. Von der Modembank im Block 12 wer- 
den die Daten an einen Server im Block 14 Obermittelt. Dort wird eine aktuelle 
IP-Adresse fQr den Anruf verteilt. Die aktuelle IP-Adresse, sowie die dazuge- 
hbrige eindeutige AnschluRkennung und die Einwahl-Rufnummer werden an- 
schlieftend an eine Authentifizierungseinheit im Block 16 weitergeleitet. Wenn 
der Anruf beendet ist, d.h. die Verbindung zwischen dem Netzwerk des An- 
bieters und dem Kunden getrennt wird, teilt der Switch im Block 4 der Mo- 
dembank im Block 12 mit, dass der Anruf beendet wird. Der entsprechende 
Platz an der Modembank wird freigegeben, und die Modembank teilt dem 
Server im Block 14 unter Angabe der entsprechenden IP-Adresse mit, dass 
der Anruf beendet wurde. Der Server im Block 14 wiederum Qbertragt diese 
Information sofort an die Authentifizierungseinheit, in der die Daten aus IP- 
Adresse, eindeutiger Anschlufckennung und Einwahl-Rufnummer sofort ge- 
loscht werden. Die Authentifizierungseinheit beinhaltet somit eine dynamische 
Datenbank, in der jeweils nur aktuelle Authentifizierungsdaten gespeichert 
sind, d.h. Daten betreffend eine aktuelle Verbindung zwischen einem An- 
schluss eines Kunden (eindeutigen Anschlulikennung) und einem Einwahl- 
punkt des Netzwerkes (Einwahl-Rufnummer) sowie die dynamisch zugewie- 
sene IP-Adresse. Diese bestimmte Kombination an Daten wird nur solange 
gespeichert, wie eine tatsachliche Verbindung zu einem Anschluss des Kun- 
den besteht. 

MSchte ein Kunde nun seine Rechnungsdaten Online einsehen, so wird er im 
^ Netzwerk des Anbieters die entsprechende Intemetseite, die Zugriff auf den 
Datenbankserver im Block 10 besitzt, Qber ein Webinterface im Block 20 auf- 
rufen. Ober das Webinterface wird de/ Datenbankserver 10 zwar die aktuell 
zugewiesene IP-Nummer des Kunden mitgeteilt, nicht jedoch dessen eindeu- 
tigen Anschlulikennung. Der Datenbankserver im Block 10 stellt daher eine 
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Anfrage an die Authentifizierungseinheit im Block 16, urn festzustellen, ob die 
bei der Anfrage verwendete IP-Adresse des Kunden eine aktuelle IP-Adresse 
darstellt, und ferner, welchem Anschluss, d.h. welcher eindeutigen AnschluR- 
kennung, die IP-Adresse zugewiesen wurde. Wenn es sich um eine aktuelle 
IP-Adresse handelt, wird die Datenkombination aus der Authentifizierungsein- 
heit an den Datenbankserver im Block 10 geliefert, und der Datenbankserver 
kann nun die der eindeutigen Anschlulikennung zugehfirigen Einzelverbin- 
dungsnachweise herausfiltern und zur Einsicht freigeben. Gegebenenfalls 
kbnnen auch zusatzliche Informationen, wie beispielsweise eine PIN und/oder 
eine Rechnungs- und/oder Kundennummer der DTAG angefordert werden, um 
die Information hinsichtlich des Einzelverbindungsnachweises auch nur der 
Person bzw. dem Terminal zur Verftigung zustellen, die bzw. der tatsachlich 
Zugriff auf die Rechnung der DTAG besitzt. 

Das wesentliche Merkmal fOr eine sichere, anschlussbezogene Identifizierung 
eines Terminals ist das Vorsehen der dynamischen Authentifizierungseinheit, 
die nur Daten fur aktuell bestehende Verbindungen enthalt, und somit eine 
hohe Sicherheit gegen Missbrauch bietet. 

o Obwohl die vorliegende Erfindung speziell anhand eines Online Einzelverbin- 
dungsnachweises beschrieben wurde, ist die anschlussbezogene Authentifi- 

^ zierung von Zugriffsrechten naturlich auch auf andere Gebiete ausweitbar. 

W Beispielsweise konnte ein beliebiger netzinterner oder auch netzexterner 
Dienst auf die Authentifizierungseinheit zugreifen, um festzustellen, ob und 

5 welchem Telefonanschluss (eindeutige AnschluBkennung) eine bestimmte IP- 
Adresse aktuell zugewiesen ist. Die eindeutige Anschlufckennung jalit nun- 
mehr eine anschlussbezogene Authentifizierung durch den jeweiligen Dienst 
zu. Dabei dQrfen natOrlich nur bestimmte registrierte Dienste auf die Authenti- 
- fizierungseinheit zugreifen, die sich auch jeweils gesondert identifizieren mQs- 

o sen, um einen Missbrauch der Authentifizierungseinheit zu verhindern. 

Solche Dienste sind beispielsweise Payment Dienste, welche Betrage Qber 
ein entsprechendes Inkassosystem Qber die Telefonrechnung der DTAG ab- 



rechnen. Eine derartige Abrechnung erfolgt beispielsweise beim kostenpflich- 
tigen Lesen bestimmter Zeitungsartikel im Internet. Ein Nachweis Qber das 
Zustandekommen der Verbindung, die Bestellung, die Lieferung und somit fQr 
die Durchsetzung von Zahlungsanspruchen bzw. Lieferverpflichtungen ist so- 
mit Qber das obige Authentifizierungsverfahren auch bei "anonymen" Endkun- 
den moglich. 

Eine weitere Moglichkeit der Nutzung einer anschlussbezogenen Authentifi- 
ziefung ist die Identifizierung durch E-Commerce Anbieter. Bei Bestellungen 
Oder Anfragen an E-Commerce Anbieter k6nnen diese automatisch eine an- 
schlussbezogene Authentifizierung vornehmen und somit Bestellungen ein- 
deutig zuordnen. Dies ist insbesondere beim Kauf virtueller Produkte (z.B. 
Digitale BQcher, Ton- und Filmaufnahmen) Vorteilhaft, da hier die Lieferadres- 
se keine Kontrolle darstellt. Eine weitere Authentifizierung Qber Benutzername 
und Kennwort kann dann entfallen oder zusatzlich eingesetzt werden, urn eine 
noch hShere Sicherheit zu bieten. Anhand der anschlussbezogenen Authenti- 
fizierung kann der E-Commerce Anbieter weitere relevante Daten des Kunden 
aufrufen, sofern der Kunde mit der eindeutigen Anschlulikennung registriert 
ist. 

E-Commerce Anbieter und auch Anbieter anderer Inhalte konnen verschiede- 
ne eindeutige Anschlufikennungen beim Netzbetreiber sperren lassen, urn zu 
verhindern, dass weitere Transaktionen von diesen AnschlQssen aus vorge- 
nommen werden. Insofem sieht die anschlussbezogene Authentifizierung ei- 
nen Schutz gegen Missbrauch vor. 

Ein weiteres Beispiel, bei dem die anschlussbezogene Authentifizierung von 
besonderem Nutzen sein kann, ist die Registrierung bei bestimmten Diensten 
- Qber die eindeutige Anschlufckennung. Der Kunde kann beispielsweise seinen 
3 Anschluss fQr bestimmte Dienste freischalten lassen, und erhalt daraufhin ei- 
nen automatisch erzeugten Code, den er in Zukunft im Nachwahlverfahren an 
die Einwahl-Rufnummer anhangt. Mittels dieses Codes kann der entspre- 
chenden eindeutigen Anschlulikennung ein bestimmter Satz an Diensten zu- 
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geordnet werden, die fur diese eindeutige Anschlufikennung genehmigt sind 
(z.B. nur online-tarifierte Dienste, keine XXX-Dienste). 

Auch bei einem Online-Beh6rdengang kann der Nutzer bzw. ein Terminal si- 
cher identifiziert werden, um Missbrauch zu vermeiden. Die anschlussbezo- 
gene Identifizierung kann in vielen Fallen eine eiektronische Signatur ersetzen 
und ermSglicht ferner die Obertragung von aus den Telefonnetzen bekannten 
Zahlungsmodellen auf die Datennetze. 

Die anschlussbezogene Identifizierung ermdglicht allgemein das zur Verfu- 
gung stellen von Inhalten unter Ausschluft Dritter ohne eine weitere Authenti- 
fizierung sowie das Sperren von Inhalten fur eine eindeutige Anschluliken- 
nung. Anhand der anschlusstechnischen Information lasst sich ferner Ober- 
prilfen, ob eine bestimmte Leistung fQr diesen Anschluss sinnvoll ist. So 
macht es keinen Sinn, einen Videostream auf ein GSM-Handy zu ubertragen, 
wahrend dies fur ein UMTS Endgerat Oder einen Festnetzanschluss mit Ter- 
minal durchaus sinnvoll sein kann. 

Die vorliegende Erfindung ist nicht auf das konkret ausgefQhrte AusfQhrungs- 
beispiel und die oben genannten Beispiele beschrankt. Vielmehr sieht sie all- 
gemein eine automatische Authentifizierung eines Terminals in Netzwerken, 
insbesondere im Netzverbund des Internets vor, bei der wenigstens zwei 
Kennungen aus wenigstens. zwei unterschiedlichen Netzen eingesetzt werden. 
Die Authentifizierung kann fQr verschiedene Zwecke eingesetzt werden. 
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Patentanspruche 

Verfahren zum automatischen Erkennen eines Zugriffsrechts auf ge- 
schutzte Bereiche in einem ersten Netz unter Verwendung einer ein- 
deutigen Anschlusskennung eines zweiten Netzes, insbesondere im 
Netzverbund des Internets, mitfolgenden Verfahrensschritten: 

- dynamische Oder statische Zuordnung einer eindeutigen Kennung 
des ersten Netzes fOr einen Terminal, bei bzw. vor seinem Verbin- 
dungsaufbau mit dem ersten Netz; 

- Speichern einer Kombination aus wenigstens der eindeutigen An- 
schluUkennung des zweiten Netzes und der eindeutigen Kennung 
des ersten Netzes in einer Authentifizierungseinheit; 

- Abfragen der Authentifizierungseinheit zum Ermitteln der eindeuti- 
gen AnschluRkennung des zweiten Netzes anhand der eindeutigen 
Kennung des ersten Netzes, wenn der Terminal auf den geschiitz- 
ten Bereich zugreifen m6chte; 

- Prufen, ob fur die eindeutige Anschlulikennung des zweiten Netzes 
ein Zugriffsrecht fur den geschQtzten Bereich besteht. 

Verfahren nach Anspruch 1 , dadurch gekennzeichnet, dass die in der 
aktuellen Authentifizierungseinheit gespeicherte Kombination zusatzlich 
weitere Daten enthalt. 

Verfahren nach Anspruch 2, dadurch gekennzeichnet, dass die zusatz- 
lichen Daten wenigstens eines der folgenden aufweisen: die Einwahl- 
Rufnummer in das erste Netzwerk, einen Benutzernamen (Login) und 
ein Passwort. 

Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass die Authentifizierungseinheit nur temporar gefuhrt 
wird. 
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5. Verfahren nach Anspruch 4. dadurch gekennzeichnet, dass die Kombi- 
nation an Daten aus der Authentifizierungseinheit geldscht wird, sobald 
der Terminal seine Verbindung mit einem der beiden Netze beendet. 

6. Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass die eindeutige Kennung des zweiten Netzes eine 
Anrufrufnummer ist. 

7. Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass der geschQtzte Bereich das Bereitstellen eines On- 
line Einzelverbindungsnachweises umfa&t. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass ein Einzel- 
verbindungsnachweis automatisch f(ir die eindeutige AnschluRkennung 
des zweiten Netzes erfolgt. 

9. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dass vor Freiga- 
be eines Einzelverbindungsnachweises zusatzliche eine weitere Einga- 
be am Terminal notwendig ist. 

10. Verfahren nach Anspruch 9, dadurch gekennzeichnet, dass die weitere 
Eingabe das Eingeben einer Rechnungsnummer und/oder einer Kun- 
dennummer und/oder einer PIN umfalit. 

1 1 . Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass nur autorisierte Dienste Zugriff auf die Authentifizie- 
rungseinheit haben. 

- 12. Verfahren nach einem der vorhergehenden AnsprQche, dadurch ge- 
kennzeichnet, dass der geschQtzte Bereich wenigstens einen der fol- 
genden Dienste beinhaltet: Bereitstellen von Inhalten, elektronischer 
Handel (E-commerce), Payment bzw. Zahlungsdienste und Behdrden- 
dienste. 
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13. Verfahren nach Anspruch 12, dadurch gekennzeichnet, dass bei einem 
Payment Dienst die entstehenden Kosten automatisch Qber die eindeu- 
tige Anschlufckennung des zweiten Netzes abgerechnet werden. 

5 

14. Verfahren nach einem der vorhergehenden AnsprOche, dadurch ge- 
kennzeichnet, dass im geschQtzten Bereich anhand der eindeutigen 
Anschlu liken nung des zweiten Netzes automatisch weitere Daten des 
Terminals aufgerufen werden und/oder weitere Verfahrensschritte ein- 

10 geleitet werden. 

15. Verfahren nach einem der vorhergehenden AnsprOche, dadurch ge- 
kennzeichnet, dass eine weitere Personalisierung des Terminals Ober 
die Eingabe einer PIN erfolgt. 
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16. Verfahren zum Bereitstellen von Daten fur eine automatische Erken- 
nung von Zugriffsrechten auf geschOtzte Bereiche in Netzen, insbeson- 
dere im Netzverbund des Internets, mit folgenden Verfahrensschritten: 

- Vorsehen von wenigstens jeweils einer eindeutigen Kennung aus 
20 wenigstens zwei unterschiedlichen Netzen wahrend eine Verbin- 

dung zu beiden Netzen besteht; 

- Speichern einer Kombination der unterschiedlichen Kennungen in 
einer Authentifizierungseinheit; 

- Ausgeben und/oder Authentifizieren einer der eindeutigen Kennun- 
2 5 gen, bei einer entsprechenden Anfrage hinsichtlich der anderen 

eindeutigen Kennungen; 

- Ldschen der Daten aus der Authentifizierungseinheit sobald eine 
Verbindung mit wenigstens einem der beiden Netze beendet wurde. 

30 17. Verfahren nach Anspruch 16, dadurch gekennzeichnet, dass wenig- 
stens eine der Kennungen eine IP-Nummer und/oder eine eindeutige 
Anschlulikennung eines Terminals ist. 
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18. Verfahren nach Anspruch 16 oder 17, dadurch gekennzeichnet, dass 
geprOft wird, bb die Anfrage von einer autorisierten Stelle bzw. einem 
autorisierten Dienst stammt. 

19. Verfahren nach einem der Anspruche 16 bis 18, dadurch gekennzeich- 
net, dass die in der aktuellen Authentifizierungseinheit gespeicherte 
Kombination zusatzlich weitere Dateh enthalt. 

20. Verfahren nach Anspruch 19, dadurch gekennzeichnet, dass die zu- 
satzlichen Daten wenigstens eines der folgenden aufweisen: eine Ein- 
wahl-Rufnummer in eines der Netze, einen Benutzernamen (Login) und 
ein Passwort 

21. Verfahren nach einem der Anspruche 16 bis 20, dadurch gekennzeich- 
net, dass uber die Authentifizierungseinheit eine Anruf-Rufnummem- 
sperre oder eine Ziel-Rufnummernsperre identifiziert wird. 




